我有一个Android应用程序可以从我的PHP / MySQL网络服务器中获取数据。 数据本身并不敏感,如果是POI,它是一个数字的地理数据 - 但是对其他人使用/滥用可能是有用的。
目前,我的应用程序将通过以下方式进行操作来获取数据: http://myserver.url.com/data.php?getinfo=a_zip_code
返回的任何数据都将以XML格式返回。我不想要的是有人能够通过自己的数据请求来滥用系统。
我的道具是根据MD5(用户名+日期+盐)生成密钥
发送GET请求:
http://myserver.url.com/data.php?
getinfo=a_zip_code&username=$username&key=AABBCCDDEEFFAABBCCDDEEFF
然后我可以在服务器上重复该过程,如果哈希匹配 - 那么我可以返回数据。
这是做我想要达到的目标的好方法还是还有其他更适合的方式?
答案 0 :(得分:0)
我认为作为一个键你可以只使用一个已知的变量 - 没有md5。将其发布到您的脚本 - 并获得结果。另一种方法是发布您的Android设备个人号码并将其定义到您的Php脚本。
答案 1 :(得分:0)
我觉得你发布的方法已经足够了。但是,与所有安全问题一样,这与您需要的多少安全性有关。我遇到了类似的情况,因为我的Web服务器将返回我的应用程序随后将解析的JSON数据。同样,不是任何敏感的东西,而是我不希望任何人使用的东西。请注意,像我们这样的问题有很多解决方案。您也可以拥有它,以便您的应用程序能够“登录”您的网站,然后才能访问任何数据。或者您可以设置某种令牌系统。这取决于你,但看起来你有一个坚实的想法。
答案 2 :(得分:0)
首先,确保使用HTTPS。其次,不要依赖你的钥匙完全保密。 APK可以被反编译,并且可以轻松发现键(字符串)。